Si votre entreprise a été victime d'une fraude télécom, le sauriez-vous? Comment saurais tu? À quelle vitesse? Nous lisons chaque semaine des attaques par déni de service et le vol de données personnelles, mais les attaques par téléphonie Internet semblent en quelque sorte moins dignes d'intérêt. Se produisent-ils également?
Eh bien, selon la Communications Fraud Control Association, les 5 principales fraudes en télécommunications coûtent plus de 26 milliards de dollars [1]. Alors oui, cela arrive. Le Royaume-Uni est le troisième pays le plus ciblé au monde; la fraude aux péages coûte aux entreprises britanniques 1.2 milliard de livres sterling par an.
Il ne s'agit pas seulement de fraude à péage; les pirates informatiques exploitent le trafic Internet à différentes fins. Leur objectif peut être de voler des informations telles que la stratégie de l'entreprise ou la propriété intellectuelle. Alternativement, ils peuvent chercher à nuire à la réputation d'un concurrent en publiant des informations sensibles telles que des données personnelles. Nous examinons ici les risques des attaques téléphoniques et les étapes qu'une entreprise peut mettre en œuvre pour atténuer ces risques.
PSTN, ISDN et VoIP
Tout d'abord, nous devons jeter un bref regard sur la vie avant la VoIP. Lorsque les appels téléphoniques ont été passés à l'aide du RTPC, les entreprises ont accordé moins d'importance à la sécurité. Le RTPC était toujours à risque, car un pirate utilisant un équipement spécialisé pouvait toujours écouter une conversation en branchant les fils. Aujourd'hui, un appel PSTN sera probablement acheminé sur Internet pour une partie de son itinéraire, il n'est donc toujours pas sécurisé.
Le RNIS (par exemple, une ligne T1 ou T3) était plus sécurisé car la ligne était privée pour l'entreprise, bien que le point final puisse être exploité.
La VoIP est plutôt plus sensible au piratage car elle est acheminée sur des lignes publiques. L'audio vocal est divisé en paquets de données de la même manière, que les données soient banales ou sensibles. Si les données ne sont pas chiffrées, les pirates peuvent intercepter et réassembler les paquets dans la conversation d'origine.
BT a annoncé qu'il allait désactiver ses réseaux PSTN et RNIS d'ici 2025 [2], en se déplaçant uniquement vers IP. Il est donc essentiel que toutes les entreprises reconnaissent les risques et se protègent maintenant.
Quels sont les risques?
La fraude au péage est un risque financier pour les entreprises utilisant la VoIP. Alors que certaines des 5 principales fraudes en matière de télécommunications ciblent les opérateurs, deux ciblent les entreprises: la fraude internationale au partage des revenus (IRSF) et les services à taux majoré.
- IRSF implique un fraudeur travaillant avec un fournisseur de services réseau non autorisé. Ils font de longs appels à un prix élevé qui sont terminés par le fournisseur. L'entreprise reçoit un changement excessif et le profit est partagé entre le fraudeur et le fournisseur.
– Les services à tarif majoré génèrent des revenus lorsque le personnel appelle des numéros à tarif majoré. Cependant, les pirates peuvent également détourner le trafic vers des tarifs majorés.
Écoute électronique - il existe plusieurs possibilités d'interception d'un appel, soit sur la ligne, soit à proximité d'un point de terminaison lors de l'utilisation du Wi-Fi interne de l'entreprise ou d'un point d'accès Wi-Fi. Celles-ci peuvent entraîner des risques financiers, une violation de réglementations telles que GDPR, HIPAA ou SOX, ou une perte de réputation pour l'entreprise. Par exemple, la norme PCI relative aux cartes de paiement exige que les informations du titulaire de la carte soient cryptées lors de la transmission sur Internet.
Le déni de service est un risque pour la productivité et la réputation de l'entreprise, que le service soit une page Web ou un appel VoIP.
Comment la technologie peut-elle aider à sécuriser ma terminaison VoIP en gros?
Le chiffrement de la VoIP est essentiel. Compte tenu des risques d'interception à proximité d'un point de terminaison, le chiffrement doit être appliqué de bout en bout. Des protocoles tels que SRTP et TLS sont utilisés pour crypter l'appel.
Le protocole de transport sécurisé en temps réel (SRTP) est une méthode cryptographique de chiffrement des données, y compris la protection contre les attaques par relecture et l'authentification des messages. SRTP utilise la norme de cryptage avancée (AES). Les deux extrémités de l'appel doivent être activées pour SRTP. Selon le matériel, cela affichera une icône de cadenas.
La sécurité de la couche de transport (TLS) est utilisée pour chiffrer les métadonnées d'appel telles que le numéro de téléphone, mais protège également contre l'écoute et la falsification.
Le service informatique doit suivre les bonnes pratiques, telles que:
- Analysez les journaux d'appels et d'accès, recherchez un grand nombre de tentatives infructueuses d'accès à votre service
- Gardez le firmware à jour sur les téléphones VoIP
- Utilisez des mots de passe sécurisés sur les appareils mobiles et activez l'effacement à distance
- Purger régulièrement les messages vocaux
- Chiffrer le Wi-Fi interne
Fournisseur VoIP
Choisissez le bon fournisseur VoIP. Bien sûr, ils doivent offrir une bonne valeur, une excellente qualité de service et une fiabilité. Pour les entreprises mondiales, elles doivent fournir une connectivité dans le monde entier. Cependant, ils doivent être dignes de confiance et doivent s'intégrer à votre solution VoIP sécurisée.
Chez IDT, nous avons une expérience éprouvée dans le déploiement de solutions VoIP. En fournissant un niveau unique de surveillance de la qualité des appels, nous pouvons repérer des modèles inhabituels dans les enregistrements d'appels de nos clients Platinum, avertissant d'une fraude possible. Pourquoi ne pas nous contacter pour savoir comment nous pouvons vous aider avec une VoIP sécurisée et de haute qualité.
[1] https://gdpr.report/news/2017/05/29/tecommunications-battle-fraud/
[2] https://news.openreach.co.uk/pressreleases/openreach-to-consult-communication-provider-customers-on-switch-to-digital-phone-services-by-2025-2507133